neprihlásený Sobota, 23. novembra 2024, dnes má meniny Klement
Ďalšie zraniteľnosti opäť ukazujú na katastrofálnu bezpečnosť WiFi routerov

Značky: Wi-Firouterybezpečnosť

DSL.sk, 11.9.2017


Je samozrejme viac rokov známe, že stav bezpečnosti WiFi routerov určených pre domácnosti a iných menších používateľov je priam katastrofálny.

A to nielen počtom objavovaných závažných zraniteľností bežne umožňujúcich útočníkom z Internetu získať kontrolu nad týmito routermi ale vo viacerých prípadoch aj typom chýb, ktoré ukazujú na veľké zanedbanie bezpečnosti a prístup ďaleko za súčasnými štandardami bezpečnosti.

D-Link DIR-850L

Stav zlej bezpečnosti WiFi routerov aktuálne opäť potvrdzuje oznámenie identifikovaných zraniteľností v jednom takomto routeri, tentokrát D-Link DIR-850L.

Tento model je stále v predaji a podľa stránok D-Linku evidentne aj podporovaný, keď na jeho stránkach podpory na rozdiel od niektorých iných modelov nie je poznámka o vyradení routeru z ponuky respektíve ukončení podpory.

Juhokórejský bezpečnostný expert Pierre Kim v piatok zverejnil ale upozornenie, kde popísal hneď desať zrejme nových bezpečnostných zraniteľností týkajúcich sa tohto routera a to vo forme full disclosure, teda prakticky so všetkými informáciami postačujúcimi technicky znalým užívateľom na zneužitie. Tentokrát tak spravil bez spolupráce s D-Linkom a to podľa neho z dôvodu zlého prístupu D-Linku pri predchádzajúcom nahlasovaní zraniteľností vo februári.


D-Link DIR-850L, kliknite pre zväčšenie (foto: D-Link)



D-Link je od začiatku tohto roka okrem iného aj terčom žaloby americkej federálnej vládnej agentúry FTC, Federal Trade Commission, ako sme informovali v tomto článku. FTC ho zažalovala kvôli nedostatočnému zabezpečeniu jeho produktov, WiFi routerov a kamier. Podľa FTC boli bezpečnostné opatrenia spoločnosti nedostatočné a spoločnosť nespravila primerané kroky, aby odstránila ľahko odstrániteľné bezpečnostné zraniteľnosti, z ktorých viaceré minimálne principiálne popisuje.

WiFi router DIR-850L má dve hardvérové revízie, pričom niektoré zraniteľnosti identifikované Kimom sa týkajú oboch, niektoré len jednej. Popis všetkých zraniteľností nie je dostatočne detailný najmä čo sa týka analýzy scenárov zneužitia a prípadne predpokladov pre zneužitie a medzi zraniteľnosťami sú viac aj menej závažné zraniteľnosti.

Medzi zraniteľnosťami je napríklad samostatne aj skutočnosť, že firmvéry nemajú kryptografickú ochranu a útočník tak vie vytvoriť modifikovaný firmvér inštalovateľný štandardným spôsobom cez webové rozhranie. To samozrejme ale nie je zraniteľnosť, ktorá by otvárala dvere útočníkom, a je to len absencia ochranného mechanizmu, ktorá by mohla zabrániť vážnejším dopadom po zneužití inej zraniteľnosti.

V každom prípade jedna z popísaných zraniteľností prítomná v oboch revíziách má evidentne fatálne následky a útočníkovi z Internetu umožňuje získať heslo administrátora a zároveň pristupovať do webového rozhrania umožňujúceho správu. Tam môže okrem zmien konfigurácie už nahrať svoj upravený infikovaný firmvér a z infekcie spraviť trvalú infekciu.

Na rozdiel od zraniteľností takéhoto typu v iných routeroch tu nejde o priamočiare zneužitie chýb iba v routeri, na ktoré sa chce útočník dostať. Popísaný prístup umožňuje získať pomerne komplikovaný postup. Útočník môže najskôr z Internetu bez autentifikácie podľa Kima cez webové rozhranie routera pripojiť tento k novému cloudovému účtu služby mydlink a následne pri prístupe k tomuto účtu na stránkach služby je prehliadaču nepochopiteľne v pozadí sprístupnené nešifrované administrátorské heslo k routeru.

Použitím tohoto hesla sa môže útočník následne cez túto cloudovú službu pripojiť na webové rozhranie routera ako administrátor a meniť nastavenia routera vrátane získania plnej kontroly.

Či tento útok má nejaké predpoklady Kim neuvádza. Dalo by sa očakávať, že tejto chybe by sa mohlo dať zabrániť zakázaním pripájania sa k mydlink službe. Či je táto možnosť ale k dispozícii nie je jasné, keď sa spoločnosť D-Link zrejme k zverejneným informáciám ešte nevyjadrila.

V každom prípade Kim odporúča predmetný router okamžite odpojiť od Internetu. Ide pritom o router radiaci sa medzi drahšie routery pre domácnosti, keď jeho cena je viac ako 70 eur.

LEDE / OpenWrt

Vzhľadom na katastrofálny stav bezpečnosti domácich WiFi routerov môže byť pre užívateľov vhodným riešením využívanie routera, na ktorý sa dá nahrať linuxový open source firmvér LEDE / OpenWrt. Záruku bezpečnosti užívatelia samozrejme nedostanú ani s týmto firmvérom, najmä v prípade LEDE je tento ale pravidelne aktualizovaný, vyvíjaný a do nejakej miery preverovaný komunitou a okrem webového rozhrania je postavený na štandardných linuxových softvéroch.

Inštalovať LEDE je ale odporúčané len technicky zdatným užívateľom, keď najmä u modelov nepodporujúcich možnosť nahrať LEDE firmvér cez webové rozhranie môžu komplikovanejšie postupy vyústiť do zablokovania alebo prakticky trvalého poškodenia routera a užívatelia konajú na vlastnú zodpovednosť.

V prípade, že je zákazník pripojený cez DSL, káblovým pripojením alebo optikou, LEDE / OpenWrt sú dostupné len pre málo routerov s takýmito technológiami pripojenia k Internetu. V prípade DSL sú to spomedzi u nás dostupných modelov zrejme len vyššie modely TP-Link TD-Wxx70 a TD-Wxx80.

V takýchto prípadoch je teda možné voliť buď takéto routery alebo použiť router / modem s bežným firmvérom iba v bridge režime a zaň zapojiť na Internet vystavený už LEDE / OpenWrt router. Ani v takomto scenári zrejme nie je technicky garantované, že sa stopercentne nebudú dať zneužiť nejaké chyby v žiadnom bežnom routeri, riziko je ale výrazne eliminované.

Pre router D-Link DIR-850L bohužial LEDE / OpenWrt k dispozícii nie sú a tento router nemá zmysel ani používať v bridge režime, keď jeho WAN rozhraním je Ethernet.


      Zdieľaj na Twitteri



Najnovšie články:

Starship by mohla za najbližšie štyri roky uskutočniť až 400 štartov
Protimonopolný úrad začal prešetrovať, prečo v SR nie sú skutoční virtuálni mobilní operátori
Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser
Odštartovaná výroba flash pamäte s 321 vrstvami
Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci
Linux dostáva podporu veľkokapacitných pamäťových SDUC kariet
USA požadujú, aby Google predal Chrome a potenciálne aj Android
ISS zvýšila orbitu, aby sa vyhla troskám zo satelitu
Vzniknú fyzické zábavné tematické Minecraft parky


Diskusia:
                               
 

Clovek aby si staval uz pomaly routre sam ked nechce aby mal totalnu sracku. Alebo priplatit za nejaky Turis Omnia.
Odpovedať Známka: 8.0 Hodnotiť:
 

za tu cenu Omnie si ten router upajkujem aj sam ...
Odpovedať Známka: 0.0 Hodnotiť:
 

Turris nie je zlý, len drahý. Ale na druhú stranu je to malý projekt s veľkými nákladmi. Fandím im. Podľa mňa do budúcna ceny klesnú.

Lepšia možnosť je kúpiť si HW na pfsense. Vychádza to lacnejšie a skúsený používatelia si spravia bezpečnejší systém.

Prípadne si kúpiť HW na LEDE/openWRT/tomato/dd-wrt/... To je tiež možnosť. Tu stačí aj ARM krabička ako napríklad Marvell ESPRESSOBin.
Odpovedať Známka: 6.7 Hodnotiť:
 

Turris bezi na forku OpenWRT/LEDE so vsetkymi problemami - ath10k (QCA opensource WiFi AC driver) je nestabilny, bugovy.. zial.

To si mozem rovno kupit Netgear R7800 (QCA IPQ8065 platforma, dual core Krait 1,7 GHz, 512 MB RAM, 4x4 MIMO WiFi AC radio) ci nejaky podobny..

OpenWRT/LEDE je skvely projekt, len ma velke problemy s WiFi drivermi (a binarne bloby neakceptuje, takze napr. Broadcom je mimo hry).
Odpovedať Známka: -6.7 Hodnotiť:
 

Binarne bloby neakceptuje, ale treba povedat aj preco. V minulosti s nimi boli obrovske problemy, podporovali len historicke jadra a boli tiez nestabilne, plus kazdy z nich si robil mac802 vrstvu aku chcel namiesto pouzivania systemovej. Preto v ramci zachovania dusevneho zdravia developerov aj userov sa preslo iba na open drivery.

Na druhu stranu, ath10k presiel nejakym vyvojom, cz.nic prestal experimentovat s alternativnymi forkami a posledne mesiace uz ide celkom pekne a stabilne. Lepsi by bol uz len QCA9984 :)
Odpovedať Známka: 6.0 Hodnotiť:
 

Netgear, ktorý si pridal mal zhodou okolností už pár prehreškov čo sa týka bezpečnosti. Osobne by som ho domov nepustil. Môžeš ma bohate mínuskovať, môžeš pridávať akýkoľvek bežný SOHO (áno ten čo si pridal je bežný SOHO router), vždy sa tam na bezpečnosť bude kašlať ako to len pôjde.

Ath10k vieš vymeniť za binary blob. Turris má Ath10k len na 2,4Ghz. 5Ghz je binary blob pokiaľ viem.
Odpovedať Známka: 10.0 Hodnotiť:
 

tak teda do toho... aj ja som bol skepticky voci omnii ale ten vykon to je nieco neskutocne a tie moznosti ani nehovorim
Odpovedať Známka: 5.0 Hodnotiť:
 

Vzhladom k nastupu ipv6 nie je nad mnozstvom o nevyhnutnosti nasadzovania routera v segmente domacich sieti erudovanymi bezpecnostnymi expertami formulovanych nazorov objektivne mozne pocitovat vyssiu uroven udivu nez nad ich priekaznou kvalitou.
Odpovedať Známka: -5.5 Hodnotiť:
 

Alebo taky pfSense/OPNsense, ktory bezi na beznom x86 HW. Ja ho mam v HP microserveri ako VM popri NAS. Nemozem sa stazovat
Odpovedať Známka: 3.3 Hodnotiť:
 

Hacknut routery, mnoho modelov, sa daju do 30 sekund (aj WPA2) (ak maju zapnute WPS).... staci pouzit pixiedust utok...

link na github:
https://goo.gl/jrYXkW

na githube najdete vsetko potrebne a aj zosit so zoznamov zranitelnych routerov.... staci vypnut WPS....
Odpovedať Známka: 5.0 Hodnotiť:
 

Ty odmietas druhym ludom dat pristup do svojho routera? To si myslis ze si viac nez oni? Uz nie je 19-te storocie tak sa zobud ty xenofob... tvoj router je tu pre vsetkych.
Odpovedať Známka: 5.7 Hodnotiť:
 

Komunisticke zmyslanie facebookovej generacie, no to je este lepsie ako: „Květinová alternativa v rodině důstojníka lidové armády!".
Odpovedať Známka: 2.7 Hodnotiť:
 

A komu tim prospejete co?!
Odpovedať Známka: 10.0 Hodnotiť:
 

Zaujímavé, že otvorené telekom rútre to doteraz prežili bez ujmy.
Odpovedať Známka: 6.7 Hodnotiť:
 

Kontaktujte nás prosím na redakcia at dsl.sk
Odpovedať Známka: 5.0 Hodnotiť:
 

Napr. tuto dieru som osobne overil, otrstoval a router odlozil do krabice svojho casu..

https://goo.gl/Rn4fSd
Odpovedať Známka: 6.0 Hodnotiť:
 

Postaci mikrotik, este som necital ze by mali nejaky problem. Napr RB962 RB2011 RB951g a pod...
Odpovedať Známka: 7.5 Hodnotiť:
 

suhlasim, akurat je problem ze ten mikrotik nekupis za par drobnych...

Odpovedať Známka: 5.0 Hodnotiť:
 

Ale kupis, pozri ceny, do 100 eciek sa zvycajne clovek zmesti, napr taka rb952 sa na domace pouzivanie hodi skvelo a cenou niekde okolo 40 co je fajn.. No 962 je drahsia uznavam cca 110 euro sle aj 952 spravi co ma, pri adsl spravit z povodneho routra bridge a zan mikrotik a mas vystarane, nastavis co len chces, k tomu par AP na pokrytie vacsich priestorov poschodi a pod.
Odpovedať Známka: 7.1 Hodnotiť:
 

Vacsina ludi ma router a wifi AP v jednom, preto samostatne zariadenia su pomerne nepriechodne, a samozrejme drahsie.

Aj 962 je iba n-kova wifi. Na device za 100+ EUR je to ubohe, v tej cenovej kategorii sa uz ocakava 802.11ac.
Odpovedať Známka: 5.0 Hodnotiť:
 

ja necem ac ani dc.

Odpovedať Známka: -5.0 Hodnotiť:
 

Asi zle citas

RB962UiGS-5HacT2HnT Hap ac

https://mikrotik.com/product/RB962UiGS-5HacT2HnT
Odpovedať Známka: 10.0 Hodnotiť:
 

Ano, pozeral som zle, beriem spat.
Odpovedať Známka: 3.3 Hodnotiť:
 

Za 40 Eur je hAP ac lite a má 802.11ac. Mám ich 7 kusov a pokrývajú internát. Nie sú s nimi žiadne problémy na rozdiel od iných routerov v tejto cenovej kategórii čo tam boli predtým a nezvládali mnoho súčasne pripojených klientov. Mám ešte iný Mikrotik router 6 rokov starý a aj ten má aktualizácie a funguje bez problémov.

https://mikrotik.com/product/RB952Ui-5ac2nD-TC
Odpovedať Známka: 10.0 Hodnotiť:
 

mikrotik je veľmi dobrá voľba ako pomerne lacno vyriešiť spoľahlivú wifi sieť , a pri použití rýchleho nastavenia quick setup to zvládne aj amatér a aj základne nastavenie firewalu mikrotiku je oveľa bezpečesnešie ako u mnohých lacných tp-linkov a d-linkov . odmednou za použitie mikrotiku je obrovská stabilita neprekonateľný uptime a pravidelná podpodpora . Pri zložitešich nastavenich treba trochu googliť ale komunita je obrovská a obsahuje skoro na všetko podrobný návod ako to nastaviť mojej mame som nainštaval mikrotik (pôvodný router prepnutý do bridge predtím výpadky spojenia adsl ale ako náhle pracuje len ako bridge ide ako píla)cca pred 5 rokmi za 5 rokov ani jeden výpadok cca raz ročne urobím upgrade na novú verziu routerOS inak netreba nič
Odpovedať Známka: 10.0 Hodnotiť:
 

Suhlas - Hap AC Lite je uz predavany aj v ciernej farbe ak by niekomu vadila farba

https://mikrotik.com/product/RB952Ui-5ac2nD-TC
Odpovedať Známka: 10.0 Hodnotiť:
 

V sucasnosti tuto situaciu dost zhorsuje nahodne generovanie externych IP adries u niektorych ISP pre beznych uzivatelov v domacnostiach a kancelariach. Radovy uzivatel ani nema tusenia ze ho 'vydno' z internetu. Utocnik nemusi byt ani nejaky hacker, jednoducho si tieto veci vyhlada trebarz cez shodan a je dnu aj bez toho aby sa niekde ozaj musel naburat alebo vyuzivat nejaku bezpecnostnu dieru.
Odpovedať Hodnotiť:

Pridať komentár